Återinträde, prisorakelattacker och utnyttjande av sju protokoll fick decentraliserat finansutrymme (DeFi) att blöda ut minst 21 miljoner dollar i krypto i februari.
Enligt till DeFi-centrerad dataanalysplattform DefiLlama, en av de största under månaden var attacken mot återinträde av snabblån mot Platypus Finance, vilket ledde till att 8.5 miljoner dollar gick förlorade.
DefiLlama lyfte fram sex andra anmärkningsvärda hacks under månaden, den första var prisorakelattacken på BonqDAO den 1 februari.
BonqDAO: 1.7 miljoner dollar
BonqDAO avslöjade för sina följare i ett inlägg den 1 februari att dess Bonq-protokollet avslöjades till en orakelattack som gjorde det möjligt för exploatören att manipulera priset på AllianceBlock (ALBT) token.
Exploatören höjde ALBT-priset och präglade stora mängder BEUR. BEUR byttes sedan mot andra tokens på Uniswap. Sedan sänktes priset till nästan noll, vilket utlöste likvidationen av ALBT troves.
Blockchain-säkerhetsföretaget PeckShield uppskattade förlusterna till cirka 120 miljoner dollar, men det avslöjades senare att hackare enligt uppgift bara betalade ut cirka 1 miljon dollar på grund av bristande likviditet på BonqDAO.
Orion-protokollet: 3 miljoner dollar
Bara en dag senare drabbades decentraliserade börs Orion-protokollet av en förlust på cirka 3 miljoner dollar den 2 februari genom en återinträdesattack, där angripare använde ett skadligt smart kontrakt för att tappa pengar från ett mål med upprepade uttagsorder.
Vi har undersökt denna mycket sofistikerade attack från minuterna den inträffade. Vi kommer inte att öppna insättningsfunktionen igen förrän vi känner oss säkra på att buggen har åtgärdats, vilket bara kommer att ske efter att vi har godkänt nya revisioner från ledande revisionsbyråer.
— Alexey Koloskov (@alexeykoloskov) Februari 2, 2023
Orion Protocols vd Alexey Koloskov bekräftade attacken vid den tiden och försäkrade alla: "Alla användares pengar är säkra och säkra."
"Vi har skäl att tro att problemet inte var ett resultat av några brister i vår kärnprotokollkod, utan snarare kan ha orsakats av en sårbarhet i att blanda tredjepartsbibliotek i ett av de smarta kontrakten som används av våra experimentella och privata mäklare ," han sa.
dForce Network: 3.65 miljoner dollar
DeFi-protokollet dForce-nätverket var ett annat offer i februari för en återinträdesattack som resulterade i förluster på cirka 3.65 miljoner dollar.
I en 10 februari inlägg, dForce bekräftade utnyttjandet; Men i en vändning återbetalades alla medel när hackaren kom fram som en whitehat-hacker.
2/5 Kort efter händelsen inledde vi samtal med exploatören, som trädde fram som vithatt. Vi har gått med på att erbjuda en belöning och kommer att avbryta alla pågående utredningar och brottsbekämpande åtgärder.
— dForce (@dForcenet) Februari 13, 2023
"Den 13 februari 2023 återfördes de utnyttjade medlen fullt ut till vårt multi-sig på både Arbitrum och Optimism, ett perfekt slut för alla", sa dForce.
Platypus Finance: 9.1 miljoner dollar
Den 16 februari, DeFi-protokollet Platypus Finance drabbades av en blixtlånsattack vilket resulterade i att 8.5 miljoner dollar tappades från protokollet.
En obduktionsrapport från Platypus auditor Omniscia noterade att attacken var möjlig på grund av kod i fel ordning.
Den 23 februari tillkännagav teamet att de försöker återbetala cirka 78 % av de viktigaste poolmedlen genom att återföra frysta stablecoins.
Uppdaterad ersättningssida
Vi har uppdaterat vår ersättningssida idag! Om du har satt in eller tagit ut LP-tokens från våra avkastningssamlare före poolpausen kommer ditt ersättningsbelopp att uppdateras i enlighet med detta.
Snarare https://t.co/GfLIn5jmtF— Platypus (++) (@Platypusdefi) Mars 3, 2023
Teamet bekräftade också andra och tredje incidenter, vilket ledde till att ytterligare $667,000 9.1 utnyttjades, vilket gav totala förluster på cirka $XNUMX miljoner.
fransk polis grep två misstänkta relaterade till hacket och beslagtog kryptotillgångar till ett värde av cirka 222,000 25 dollar den XNUMX februari.
Hope Finance: 1.86 miljoner dollar
Några dagar senare, användare av det arbitrumbaserade algoritmiska stablecoin-projektet, Hope Finance, föll offer för en smart kontraktsexploatering den 20 februari, som såg ungefär 2 miljoner dollar stulna från användare.
#CommunityAlert @hoppe_fin har meddelat att communityn har blivit lurad för ~2 miljoner dollar vilket gör detta till det största #exitscam på Arbitrum 2023.
1.86 miljoner dollar överfördes till @TornadoCash.
Hope_fin har lagt ut steg för användare att dra tillbaka sin insatta LPhttps://t.co/hJbFXiKujt
— CertiKAlert (@CertiKAlert) Februari 21, 2023
Web3-säkerhetsföretaget CertiK flaggade för incidenten den 21 februari, efter ett tillkännagivande från Hope Finance Twitter-konto som underrättade användare om bluffen.
En medlem av CertiK-teamet sa till Cointelegraph vid den tiden att bedragaren hade ändrat detaljerna i det smarta kontraktet, vilket ledde till att pengar tappades från Hope Finances genesisprotokoll:
"Det verkar som om bedragaren ändrade TradingHelper-kontraktet vilket innebar att när 0x4481 anropar OpenTrade på GenesisRewardPool överförs pengarna till bedragaren."
Dexibel: 2 miljoner dollar
Multichain exchange aggregator Dexible drabbades av ett utnyttjande som riktade sig mot appens selfSwap-funktion, med 2 miljoner dollar i kryptovaluta som gick förlorad som ett resultat av attacken den 17 februari.
Enligt ett inlägg från börsen den 18 februari, "exploaterade en hacker en sårbarhet i vårt senaste smarta kontrakt. Detta gjorde det möjligt för hackaren att stjäla pengar från vilken plånbok som helst som hade ett outnyttjat utgiftsgodkännande på kontraktet.”
Bästa Dexible-community, vi beklagar att informera dig om att tidigt den 17 februari utnyttjade en hackare en sårbarhet i vårt senaste smarta kontrakt. Detta gjorde det möjligt för hackaren att stjäla pengar från vilken plånbok som helst som hade ett outnyttjat utgiftsgodkännande på kontraktet.
1/5
— Dexible (@DexibleApp) Februari 17, 2023
Efter att ha undersökt, fann Dexible-teamet att en angripare hade använt appens selfSwap-funktion för att flytta krypto för över 2 miljoner USD från användare som tidigare hade auktoriserat appen att flytta sina tokens.
Efter att ha tagit emot tokens i sitt eget smarta kontrakt, drog angriparen ut mynten genom Tornado Cash till okända BNB-plånböcker.
LaunchZone: $700,000 XNUMX
BNB Kedjebaserad decentraliserad finans (DeFi) protokollet LaunchZone hade $700,000 XNUMX värdet av medel som dränerades den 27 februari.
Enligt till blockchain-säkerhetsföretaget Immunefi utnyttjade en angripare ett overifierat kontrakt för att tömma pengarna.
"Ett godkännande hade gjorts till det overifierade kontraktet för 473 dagar sedan av LaunchZone-distributören," sa Immunefi.
Relaterat: Kryptoexploatförluster i januari ser en nedgång på nästan 93 % jämfört med föregående år
Februari-siffrorna är en kraftig ökning från januari, enligt DefiLlamas siffror.
Spåraren listar endast $740,000 XNUMX i hacks till DeFi-plattformar under månaden över två protokoll - Midas Capital och ROE Finance.
I sitt 2023 Rapport om kryptobrott, avslöjade blockchain-dataföretaget Chainalysis att hackare stal 3.1 miljarder dollar från DeFi-protokoll 2022l, vilket står för mer än 82% av det totala beloppet som stulits under året.
Källa: https://cointelegraph.com/news/7-defi-protocol-hacks-in-feb-sees-21-million-in-funds-pilfered-defillama